gli elelementi essenziali del codice della privacy - UPA

DATA PRIVACY
D. Lgs. 196/2003
TUTELA DELLE PERSONE
RISPETTO AL TRATTAMENTO DEI DATI PERSONALI
(aspetti riguardanti la comunicazione commerciale delle aziende)
Aggiornato a
Ottobre 2013
GLI ELEMENTI ESSENZIALI DEL CODICE DELLA PRIVACY
Il c.d. Codice della privacy (D. Lgs. 30 giugno 2003 n.196), in vigore dall’1 gennaio 2004,
contiene l’intera disciplina della materia, tenendo conto anche di quanto dispone la direttiva
UE 2000/58 sulla riservatezza nelle comunicazioni elettroniche.
Il Codice è diviso in tre parti: la prima (artt.1-45) è dedicata alle disposizioni generali,
organizzate in modo da disciplinare tutti gli adempimenti e le regole del trattamento con
riferimento ai settori pubblico e privato; la seconda (artt.46-140) contiene le disposizioni
relative a specifici settori, tra cui quello delle comunicazioni elettroniche (artt. 121–133) e
quello del direct marketing (art. 140); la terza parte (artt.141-186) affronta la materia delle
tutele amministrative e giurisdizionali in materia di privacy (artt. 141-172) e contiene
disposizioni modificative e abrogative di norme già in vigore.
In sintesi, il codice prevede che:
1. I dati personali che le aziende utilizzano e trattano (per azioni di direct marketing e altre
forme di comunicazioni) sono nella esclusiva disponibilità del soggetto cui si riferiscono
e possono essere usati dalle aziende solo col previo consenso espresso da parte del
soggetto interessato (art. 23). Questo consenso deve essere libero, consapevole, espresso
in forma specifica, e documentato in forma scritta; il consenso deve invece essere
manifestato in forma scritta quando il trattamento riguarda dati sensibili (art. 23).
2. Il consenso non è valido se l’interessato non è stato preventivamente informato circa i
diritti riconosciutigli dall’art. 7 e circa le finalità e le modalità del trattamento, l’identità
del titolare ed eventualmente del responsabile, se designato, ed altri elementi (artt. 7 e
13).
3. I dati possono essere usati dalle aziende solo per lo scopo per cui sono stati raccolti (art.
11).
4. L’azienda che vuole procedere al trattamento di dati personali deve effettuare la notifica
preventiva al Garante solo nei casi specificamente previsti dall’art. 37. La notifica, ove
necessaria, deve essere effettuata solo per via telematica, utilizzando il modello
predisposto dal Garante e seguendo le indicazioni impartite dallo stesso (artt. 37 e 38).
5. Il titolare deve adottare le misure minime di sicurezza che garantiscano dai rischi di
distorsione o perdita e di accesso non autorizzato o trattamento non consentito o non
conforme alla finalità della raccolta (art. 31).
6. L’interessato può richiedere al titolare o al responsabile del trattamento, ricorrendo in
caso di rifiuto al Garante, le informazioni sui dati che lo riguardano e anche opporsi al
trattamento dei propri dati (art. 7).
7. Vige il divieto di comunicare o comunque diffondere i dati personali dei quali è stata
ordinata la cancellazione come pure di comunicarli e diffonderli per finalità diverse da
quelle indicate nella notifica del trattamento, ove obbligatoria (art. 25).
8. Il Codice disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato
da chiunque sia stabilito in territorio italiano. Esso si applica anche al trattamento di dati
2
effettuati da soggetti residenti in paesi non appartenenti all’Unione Europea ma che
utilizzano, per il trattamento, strumenti - anche non elettronici - situati in Italia. In questo
caso, il titolare del trattamento deve designare un proprio rappresentante stabilito in
Italia (art. 5).
I DATI PERSONALI (art.4, co.1, lett. b; art.26)
Il Codice della privacy definisce dato personale qualunque informazione relativa a persona
fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi
altra informazione, ivi compreso un numero di identificazione personale (art. 4, co.1, lett.
b),. I dati personali, come si è già detto, possono essere utilizzati per il solo scopo dichiarato
per il quale sono stati raccolti.
I dati sensibili sono informazioni relative a:
• convinzioni religiose, filosofiche;
• opinioni politiche;
• origine razziale ed etnica;
• stato di salute e vita sessuale;
• adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso,
filosofico, politico o sindacale
Il loro trattamento è possibile solo con il consenso scritto dell’interessato e a seguito di
autorizzazione del Garante. In caso di mancata risposta da parte degli uffici del Garante vige
il principio del silenzio-rifiuto. Infatti, decorsi 45 giorni dalla richiesta l’autorizzazione si
intende negata e il trattamento non potrà essere effettuato.
Secondo quanto disposto dall’art. 26, per il trattamento dei dati sensibili non occorre il
consenso dell’interessato, ma unicamente l’autorizzazione del Garante nei seguenti casi:
quando il trattamento dei dati sensibili è effettuato da associazioni ed enti senza scopo di
lucro a carattere filosofico, politico, religioso o sindacale per il perseguimento degli scopi
previsti nell’atto costitutivo; quando il trattamento è necessario per la salvaguardia della vita
o dell’incolumità fisica di un terzo; per il corretto svolgimento di attività difensive ed
investigazioni; per il corretto adempimento di specifici obblighi previsti dalla legge in
materia di igiene e sicurezza del lavoro.
In ogni caso, i dati idonei a rivelare lo stato di salute non possono essere diffusi.
Il Garante ha rinnovato in data 13 dicembre 2012 le cinque autorizzazioni per categoria,
originariamente concesse nel giugno 2004 e tutte valide fino al 31 dicembre 2013, relative
rispettivamente al trattamento dei dati sensibili nei rapporti di lavoro (Aut. 1/2012), al
trattamento da parte di determinati soggetti dei dati idonei a rivelare lo stato di salute e la
vita sessuale (Aut. 2/2012), al trattamento dei dati sensibili da parte degli organismi di tipo
associativo e delle fondazioni (Aut. 3/2012), da parte dei liberi professionisti (Aut. 4/2012)
e da parte di diverse categorie di titolari, specificamente individuate (Aut. 5/2012). Si
aggiungano le seguenti ulteriori autorizzazioni generali di recente emanazione, tutte valide
sino al 31 dicembre 2013, relative rispettivamente al trattamento dei dati sensibili da parte di
3
investigatori privati (Aut. 6/2012), al trattamento dei dati a carattere giudiziario da parte di
privati, di enti pubblici economici e di soggetti pubblici (Aut. 7/2012), al trattamento dei
dati genetici (Aut. 8/2012), e infine al trattamento di dati personali per scopi di ricerca
scientifica (Aut. 9/2012).
Di particolare interesse per le imprese, relativamente al settore che coinvolge la
comunicazione aziendale e i rapporti con la clientela, è l’autorizzazione n. 2/2012
(trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale), la quale
all’articolo 1.2 lettera e) precisa che l’autorizzazione è rilasciata alle imprese, qualunque sia
l’oggetto della loro attività, ‘‘limitatamente ai dati e alle operazioni indispensabili per
adempiere agli obblighi anche precontrattuali derivanti da un rapporto di fornitura
all’interessato di beni, prestazioni o di servizi”.
TRATTAMENTO (art. 4, co. 1, lett. a; art. 11)
Si definisce trattamento qualunque operazione, o complesso di operazioni, automatizzata o
meno, che riguardi la raccolta, la registrazione, l’organizzazione, la conservazione, la
consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto,
l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la
distruzione dei dati, anche se non registrati in una banca di dati, intendendosi con questa
ultima espressione “qualsiasi complesso organizzato di dati personali, ripartito in una o più
unità dislocate in uno o più siti” (art. 4, lett. p).
I dati personali devono essere trattati in modo lecito e secondo correttezza, raccolti e
registrati per scopi determinati, espliciti e legittimi, utilizzati in modo compatibile con tali
scopi e conservati in una forma che consenta l’identificazione dell’interessato per un
periodo di tempo non superiore a quello necessario per gli scopi per cui sono stati raccolti. I
dati inoltre devono essere esatti e se necessario aggiornati, pertinenti, completi e non
eccedenti rispetto alle finalità per cui sono stati raccolti o successivamente trattati (art. 11).
NOTIFICA (artt. 37 e 38)
Secondo quanto disposto dal Codice, la notifica, ossia l’atto con cui l’azienda segnala al
Garante della privacy i trattamenti di dati che intende effettuare, è obbligatoria solo in
ipotesi determinate, elencate nel primo comma dell’art. 37. Fra queste va ricordata l’ipotesi
- che specificamente interessa le Aziende associate UPA – del trattamento effettuato con
l’ausilio di strumenti elettronici volto alla “profilazione” del consumatore, ovvero a
definirne la personalità, le abitudini o scelte di consumo; va pure ricordata l’ipotesi del
trattamento di dati sensibili a fini di selezione del personale per conto terzi, oppure a fini di
sondaggi di opinione, ricerche di mercato e altre ricerche campionarie. Peraltro il Garante
può, con proprio provvedimento, identificare altri casi ancora di notifica obbligatoria in
relazione a trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà
dell’interessato, in ragione delle relative modalità o della natura dei dati personali, come
pure sottrarre all’obbligo di notifica alcuni dei trattamenti elencati nell’art. 37 co. 1, cosa
che è avvenuta con la delibera n. 1/2004, nonché recentemente in relazione al trattamento di
4
dati genetici effettuato da organismi di mediazione (delibera n. 259/2011).
La notifica, che deve obbligatoriamente precedere l’inizio del trattamento, va effettuata per
via telematica, utilizzando il modello predisposto dal Garante (semplificato con delibera del
22.10.2008) e osservando le prescrizioni da questo impartite, anche per quanto riguarda
l’utilizzo della firma digitale e la conferma del ricevimento della notificazione (art. 38).
Il Garante inserisce le notifiche ricevute in un registro dei trattamenti accessibile a chiunque
e determina le modalità di consultazione gratuita per via telematica; le notizie accessibili
tramite la consultazione del registro possono essere trattate per esclusive finalità di
applicazione della disciplina in materia di protezione dei dati personali.
E’ possibile riunire in una sola notifica l’insieme delle attività di raccolta, a prescindere dal
numero e dal tipo delle operazioni, nonché dalla durata del trattamento.
La notifica è effettuata in un unico atto anche quando il trattamento comporta il
trasferimento dei dati all’estero.
Essa conserva validità fino al momento in cui non muta qualcuno degli elementi oggetto
della stessa, nel qual caso occorre effettuare una nuova notifica relativa agli elementi
interessati dal cambiamento. Nel caso di cambiamento del responsabile valgono regole
particolari (si veda sotto la voce “responsabile”). La cessazione del trattamento deve del pari
essere notificata (art. 38).
COMUNICAZIONE (art. 39)
La comunicazione è l’atto con il quale il titolare del trattamento segnala previamente al
Garante il trattamento di dati idonei a rivelare lo stato di salute finalizzato a scopi di ricerca
scientifica oppure la comunicazione di dati personali da parte di un soggetto pubblico ad
altro soggetto pubblico al di fuori dei casi previsti dalla legge.
I trattamenti oggetto di comunicazione possono essere iniziati decorsi 45 giorni dal
ricevimento della stessa, salvo diversa determinazione del Garante.
Anche la comunicazione, al pari della notifica, deve essere effettuata sulla base di un
modello predisposto dal Garante, che va trasmesso a quest’ultimo per via telematica,
osservando le prescrizioni in materia di firma digitale, oppure per telefax o lettera
raccomandata (a differenza della notifica, che può essere effettuata solo per via telematica).
TITOLARE DEL TRATTAMENTO (art. 4, co.1, lett. f; art. 28)
Titolare del trattamento è la persona fisica o giuridica cui competono le decisioni in ordine
alle finalità e alle modalità del trattamento dei dati personali, ivi compreso il profilo della
sicurezza. Il titolare è il soggetto che deve fare la notifica al Garante, ove quest’ultima sia
obbligatoria, che formula l’informativa al consumatore, che raccoglie il consenso del
consumatore, che nomina i responsabili. Il titolare è il soggetto in capo al quale sussistono le
responsabilità previste dalla legge (responsabilità penale, artt. 167 e ss.; responsabilità
amministrativa, artt. 161 e ss.; responsabilità civile per il caso in cui l’attività di trattamento
produca danni, art. 15).
Qualora il trattamento sia effettuato da una persona giuridica (ad esempio una società) il
5
“titolare”, cioè il soggetto al quale competono le scelte di fondo sulla raccolta e
utilizzazione dei dati, è la struttura nel suo complesso (quindi la società stessa) e non le
persone fisiche che l’amministrano o la rappresentano (ad esempio, il direttore generale, o il
legale rappresentante). Siccome però la persona giuridica non è suscettibile come tale di
sanzioni penali, la responsabilità penale fa capo al legale rappresentante della società, in
mancanza di delega specifica ad altro soggetto, che ovviamente avrà efficacia in quanto sia
accettata da quest’ultimo.
Nel caso la società sia articolata in più direzioni o sedi, e la singola direzione o sede eserciti
un potere decisionale autonomo sul trattamento, titolare sarà la direzione o la sede
medesima, e la responsabilità penale farà capo al responsabile della direzione o sede
interessata.
RESPONSABILI DEL TRATTAMENTO (art. 29)
Il titolare ha la facoltà di nominare uno o più responsabili del trattamento. Il responsabile
del trattamento è il soggetto (persona fisica o giuridica) preposto dal titolare al trattamento
dei dati, sulla base di istruzioni impartite dal titolare stesso. Questa figura può essere
individuata all'interno della società oppure all’esterno della stessa, mediante il conferimento
ad un terzo dell’incarico di responsabile; in ogni caso, il responsabile è individuato tra i
soggetti che per esperienza, capacità ed affidabilità forniscono idonea garanzia del pieno
rispetto delle disposizioni in materia di trattamento dei dati, ivi compreso il profilo relativo
alla sicurezza (art. 29).
I suoi compiti sono dettagliatamente specificati per iscritto dal titolare.
Nel caso siano designati più responsabili, l’elenco di questi ultimi deve essere tenuto
costantemente aggiornato da parte dell’azienda, e sulla prima notificazione devono essere
indicati il sito web o comunque le modalità attraverso le quali è conoscibile l’elenco
aggiornato dei responsabili; non è tuttavia necessario effettuare una notifica al Garante in
caso di cambiamento o aggiunta di uno dei responsabili già indicati.
Tale notifica andrà invece effettuata se viene designato per la prima volta un responsabile,
oppure se cambia il responsabile designato per il riscontro agli interessati, in caso di
esercizio dei diritti previsti dall’art. 7 del codice.
Si segnala che il Garante con provv. 15 giugno 2011 ha stabilito che le società titolari del
trattamento che producono o vendono beni ed erogano servizi oggetto di campagne
promozionali (c.d. “preponenti”) avvalendosi di agenti in outsourcing per tali attività
promozionali debbano designare questi ultimi quali responsabili del trattamento ai sensi
dell’art. 29, entro 60 gg. dalla pubblicazione in G.U. del provvedimento in questione (ossia
entro il 2 settembre 2011).
INCARICATO (art. 30)
Incaricato è la persona fisica (normalmente dipendente dell'azienda) che ha ricevuto dal
titolare o dal responsabile l'incarico di effettuare materialmente una o più operazioni di
trattamento. E' sufficiente che tale incarico risulti per iscritto dal mansionario, dagli ordini di
6
servizio, o da analogo documento interno aziendale. Il conferimento dell'incarico in forma
scritta è necessario al fine di evitare che la conoscenza dei dati personali da parte
dell'incaricato sia considerata "comunicazione" dei dati stessi da parte del titolare a terzi.
INTERESSATO: DEFINIZIONE E DIRITTI (art. 4, co.1, lett. i; artt.7-10)
E' la persona fisica a cui si riferiscono i dati trattati (art. 4, comma 1, lett. i). I diritti
dell’interessato sono elencati nell’art. 7: l’interessato ha diritto di ottenere conferma
dell’esistenza o meno di dati personali oggetto di trattamento, di ottenerne la comunicazione
in modo intelligibile, di conoscerne l’origine, di conoscere le finalità e le modalità del
trattamento e la logica applicata nel caso di trattamento effettuato con l’ausilio di strumenti
elettronici, di conoscere il nome del titolare, dei responsabili e dell’eventuale rappresentante
designato dal titolare estero, di sapere a quali soggetti i dati personali possono essere
comunicati.
L’interessato ha diritto di ottenere l’aggiornamento, la rettifica o l’integrazione dei dati, la
cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione
di legge, nonché l’attestazione che tali operazioni sono state portate a conoscenza di coloro
ai quali i dati sono stati comunicati o diffusi; egli ha altresì diritto ad opporsi, in tutto o in
parte, “al trattamento di dati personali che lo riguardano a fini di invio di materiale
pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di
comunicazioni commerciali”, nonché di opporsi – ma solo “per motivi legittimi” – al
trattamento dei dati che lo riguardano, benché il trattamento sia pertinente ai fini della
raccolta (art. 7, 4° comma). Per esercitare tali diritti, l’interessato - personalmente o
attraverso altre persone, enti, associazioni od organismi a cui abbia conferito apposita
procura - deve rivolgere la propria richiesta senza particolari formalità al titolare o al
responsabile del trattamento via posta elettronica, via fax o con raccomandata (art. 9). I
diritti dell’interessato non si estendono alla rettifica e all’integrazione di dati di tipo
valutativo o relativi a giudizi, opinioni o apprezzamenti di tipo soggettivo. Affinché
l’interessato possa godere del pieno esercizio di tali diritti, l’azienda deve adottare misure
tali da agevolare e semplificare l’accesso dei dati (artt. 7-10).
In ogni caso, l’interessato può far valere i propri diritti rivolgendosi al Garante o alla
Autorità Giudiziaria, con l’osservanza delle norme di procedura contenute nella terza parte
del Codice (artt.141-186).
INFORMATIVA (art. 13)
La legge prevede che l’interessato debba ricevere determinate informazioni dal titolare al
momento della raccolta dei dati che lo riguardano.
L’informativa deve permettere di conoscere le finalità e le modalità di raccolta dei dati e
l'uso che se ne vuole fare; la natura obbligatoria o facoltativa del conferimento dei dati; le
conseguenze di un eventuale rifiuto di rispondere; i soggetti ai quali i dati personali possono
essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati,
e l’ambito di diffusione dei dati stessi; i suoi diritti, quali riconosciuti dall’art. 7; il titolare e,
7
se designati, il rappresentante nel territorio dello Stato e il responsabile del trattamento; nel
caso vi siano più responsabili, è indicato almeno uno di essi, indicando però anche il sito
della rete di comunicazione attraverso la quale l’interessato può consultare l’elenco
aggiornato dei responsabili.
L’informativa può essere resa sia per iscritto che oralmente; nel caso in cui i dati non siano
raccolti presso l’interessato ma presso terzi, essa può essere differita fino al momento della
registrazione dei dati o, quando è prevista la loro comunicazione, fino al momento della
prima comunicazione.
Il Garante può individuare con proprio provvedimento modalità semplificate per
l’informativa fornita da servizi telefonici di assistenza e informazione al pubblico (call
center), come avvenuto con il provvedimento del Garante in data 15.11.2007.
L'informativa non corretta e l'omissione di informativa si ripercuotono sul consenso,
rendendolo invalido ed esponendo quindi il titolare e il responsabile all'applicazione delle
sanzioni previste per il caso di trattamento non preceduto da consenso.
L'informativa è necessaria anche nei casi in cui non sia necessario il consenso.
Per quanto riguarda i dati raccolti presso soggetti diversi dall'interessato, il titolare può non
fornire l'informativa quando: i dati sono trattati in base ad un obbligo previsto dalla legge,
da un regolamento o dalla normativa comunitaria; i dati sono trattati nello svolgimento di
attività difensive ed investigative; l’informativa comporti un impiego di mezzi che il
Garante dichiari essere manifestamente sproporzionati rispetto al diritto dell'interessato di
conoscere le principali caratteristiche del trattamenti, ovvero quando l’informativa si rivela
– sempre a giudizio del garante – impossibile. La sproporzione o l'impossibilità devono
essere valutate in concreto, con riguardo: alle finalità perseguite dal trattamento; alla natura
dei dati trattati; alla complessità delle modalità di realizzazione dell'iniziativa e ai costi
relativi; al numero degli interessati; alle attività necessarie per rintracciarli; alla data di
raccolta dei dati. In concreto, l'esonero dall'obbligo di informativa è stato negato dal Garante
nei seguenti casi: a) trattamento di dati inerenti a clienti e fornitori dell'impresa titolare del
trattamento; b) banche dati relative ad abbonati a quotidiani e periodici; c) centri di
elaborazione dati gestiti da società di consulenza informatica, professionisti, associazioni e
altri organismi che elaborano per conto terzi dati inerenti a clienti, fornitori e dipendenti di
terzi, a fini di gestione amministrativa e contabile; d) circolazione di dati in ambito
bancario, per la quale occorre il preventivo consenso dell'interessato.
L’informativa non è dovuta in caso di ricezione di curricula vitae spontaneamente trasmessi
alle aziende dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al
momento del primo contatto successivo all’invio del c.v., il titolare dovrà però fornire
all’interessato una breve informativa, anche oralmente, contenente almeno le indicazioni
relative alle finalità e modalità del trattamento, ai soggetti ai quali i dati personali possono
essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati,
all’ambito di diffusione dei dati stessi e ai suoi diritti, quali riconosciuti dall’art. 7 (art. 13,
comma 5bis).
CONSENSO (art. 23-24)
8
La regola generale è che il trattamento dei dati da parte di privati o di enti pubblici
economici può essere effettuato solo col consenso dell’interessato; in particolare, il
consenso dell’interessato è necessario qualora il trattamento sia effettuato per finalità di
direct marketing o promozionali. Il consenso è valido solo se è informato, ossia preceduto
dall’informativa di cui all’art. 13 (salvo i casi di esonero, come evidenziati nel paragrafo che
precede); espresso liberamente e specificamente, con riferimento ad un trattamento
chiaramente individuato. A quest’ultimo proposito, il Garante ha precisato che non è libero,
né specifico, il consenso che venga richiesto congiuntamente per il trattamento finalizzato
all’esecuzione delle obbligazioni contrattuali e per il trattamento finalizzato all’invio di
comunicazioni commerciali: non è libero perché l’interessato si trova in condizioni di non
poter negare il consenso al secondo tipo di trattamento, se non vuole automaticamente
precludersi la possibilità di ricevere l’esecuzione del contratto; e non è specifico, perché il
principio di specificità richiede che il consenso sia richiesto disgiuntamente per ciascun tipo
di trattamento (provvedimenti Garante 12 ottobre 2005; 3 novembre 2005; 10 maggio 2006;
22 febbraio 2007). Il consenso deve essere altresì esplicito: è necessaria cioè un’esplicita
manifestazione di volontà dell’interessato per rendere lecito il trattamento (sistema c.d. optin). La forma scritta è necessaria per la validità del consenso solo nel caso in cui il
trattamento riguardi dati sensibili. Si tenga tuttavia presente che in relazione ai dati sullo
stato di salute dell’interessato il Garante Privacy con provv. n. 182 del 5 maggio 2011 ha
stabilito che il consenso è validamente manifestato on line attraverso l’apposizione di un
flag su apposite caselle poste accanto all’informativa purché vengano adottate misure idonee
ad identificare in modo univoco l’interessato medesimo.
Negli altri casi non è necessario che il consenso sia prestato per iscritto, essendo sufficiente
che sia documentato per iscritto, ad esempio attraverso una dichiarazione resa da chi lo
abbia prestato in forma orale. Nel caso di consenso prestato via internet, le varie opzioni
concesse all’interessato non devono essere preselezionate, ma lasciate alla libera scelta
dell’utente, il quale deve avere la possibilità di esprimere un consenso differenziato in
relazione alle varie finalità del trattamento, eventualmente accordandolo per alcune e
negandolo per altre (provv. Garante 12 ottobre 2005).
Il consenso inoltre è strettamente personale: tranne che nei casi di rappresentanza legale
(genitori nei confronti dei figli minori), non può essere prestato per il trattamento di dati
relativi ad altri soggetti, anche se familiari, i quali devono esprimere il loro consenso
personalmente.
Il Codice prevede alcuni casi in cui il consenso non è necessario (art. 24, comma 1). Fra
questi ricordiamo i casi in cui il trattamento è necessario per adempiere ad un obbligo
imposto dalla legge, da un regolamento o dalla normativa comunitaria (lett. a), oppure è
necessario per eseguire gli obblighi derivanti da un contratto del quale è parte l’interessato o
per adempiere a specifiche richieste di quest’ultimo in fase precontrattuale (lett. b), oppure
ancora riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto
della disciplina in materia di segreto aziendale e industriale (lett. c: in quest’ultima ipotesi
rientra anche la comunicazione “business to business”, ossia la comunicazione rivolta da
un’impresa ad altre imprese), oppure è necessario, nei casi individuati dal Garante sulla base
di principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo
9
destinatario dei dati, qualora non debbano essere considerati prevalenti i diritti e le libertà
fondamentali, la dignità o un legittimo interesse dell’interessato (lett. g). Ricordiamo anche i
casi riferiti a trattamenti specifici: trattamento dei dati relativi a soci e aderenti effettuato da
associazioni no-profit (lett. h); trattamento riguardante dati contenuti nei curricula per il
quale si rimanda al paragrafo che precede (art. 24, lett. i-bis); comunicazione di dati per le
finalità amministrativo contabili definite nell’art. 34, comma 1-ter, ed esplicate
nell’informativa di cui all’art. 13, tra società, enti o associazioni con società controllanti,
controllate o collegate ai sensi dell’art. 2359 c.c. ovvero con società sottoposte a comune
controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei
di imprese con i soggetti ad essi aderenti.
Un’ipotesi di trattamento senza consenso che ha formato oggetto di successive
puntualizzazioni in senso restrittivo da parte del Garante è quella relativa ai dati provenienti
da pubblici registri, elenchi, atti o documenti conoscibili da chiunque (lett. c). Al riguardo
occorre tenere presente che:
- non sono assimilabili ai “dati provenienti da pubblici registri” - e quindi non ne è
permesso il trattamento senza consenso - gli indirizzi di posta elettronica: con
provvedimento del 29 maggio 2003, il Garante ha precisato che il dato deve
considerarsi pubblico solo quando una specifica disciplina ne impone la conoscibilità
indifferenziata da parte del pubblico, non già quando è conoscibile da chiunque per
semplici circostanze di fatto. Ai sensi dell’art. 130, comma 2, l’invio via e-mail di
materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato
o di comunicazione commerciale è consentito solo con il consenso dell’interessato
(opt-in) (cfr. provv. Garante 14 giugno 2007, secondo cui tale disciplina non può
essere elusa inviando una prima e-mail che, nel chiedere un consenso, abbia
comunque un contenuto promozionale oppure pubblicitario; conformemente v. provv.
Garante 13 maggio 2008), salvo che l’indirizzo e-mail sia stato già fornito dal
destinatario nel contesto di servizi analoghi; in questo caso l’interessato ha sempre il
diritto di rifiutare l’utilizzo delle proprie coordinate di posta elettronica per tali fini al
momento del primo contatto o in occasione di successive comunicazioni. In ogni
caso, resta l’obbligo per l’Azienda di fornire preventivamente all’interessato
l’informativa sul trattamento dei dati personali di cui all’art. 13 (provv. Garante 26
ottobre 2011);
- i dati provenienti da liste elettorali possono essere utilizzati, senza il preventivo
consenso degli interessati, solo per attività di propaganda elettorale o collegate ad un
referendum o alla selezione di canditati alle elezioni, ma non per finalità
promozionali, commerciali e pubblicitarie: queste sono infatti finalità non conformi
agli scopi per cui i dati sono stati raccolti e sono resi pubblici (provv. Garante 7
settembre 2005);
- le previsioni contenute nel provvedimento del Garante 15 luglio 2004 che
prevedevano l’utilizzabilità dei dati degli abbonati i cui numeri telefonici fossero
affiancati dal simbolo grafico attestante il consenso per la ricezione di chiamate
telefoniche a carattere promozionale risultano superate dalle modifiche introdotte
all’art. 130 e dall’istituzione del Registro pubblico delle opposizioni ex D.P.R. n.
10
-
-
-
178/2010, operativo dal 1° febbraio 2011).
In proposito, il Garante con provv. 19 gennaio 2011 ha chiarito che: a) le società che
operano nel settore del telemarketing non potranno più contattare i numeri degli
“abbonati” (che la legge definisce ora “contraenti” ex art. 129 del Codice Privacy; ai
sensi dell’art. 4 comma 2, lettera f), per contraente si intende “qualunque persona
fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore
di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di
servizi, o comunque destinatario di tali servizi tramite schede prepagate”) che si sono
iscritti nel Registro; b) se un abbonato ha chiesto ad una determinata azienda di non
essere più disturbato, quell’azienda dovrà rispettare la sua volontà anche se
l’abbonato non è iscritto nel Registro; c) la singola azienda che abbia ricevuto in
passato il consenso – documentato per iscritto – dell’abbonato a ricevere telefonate
promozionali potrà contattarlo, anche se questi è iscritto al Registro; l’abbonato potrà
tuttavia ritirare il consenso in ogni momento.
Il provvedimento contiene anche disposizioni relative ai numeri telefonici provenienti
da pubblici registri, elenchi, atti o documenti conoscibili da chiunque (ad esempio, gli
albi professionali), stabilendo che gli stessi possono essere utilizzati solo se le
telefonate promozionali sono direttamente funzionali all’attività svolta
dall’interessato, e sempre che l’interessato non si sia opposto al trattamento; e
disposizioni relative ai numeri telefonici contenuti in banche dati comunque formate,
che non possono essere utilizzate senza avere prima acquisito un consenso specifico
ed informato.
La tenuta e la gestione del Registro è stata affidata alla Fondazione Ugo Bordoni,
ente di ricerca sottoposto alla vigilanza del Ministero dello Sviluppo Economico.
Il
funzionamento
del
Registro
è
illustrato
sul
sito
internet
www.registrodelleopposizioni.it. Le imprese che intendono avviare operazioni di
telemarketing devono necessariamente registrarsi nel sistema e comunicare
preventivamente alla Fondazione i numeri da contattare. La Fondazione,
confrontando i numeri iscritti nel Registro, escluderà dall’elenco tutti i numeri iscritti
nel Registro e restituirà all’operatore la lista “depurata” entro 24 ore. La lista così
ottenuta sarà valida per 15 giorni. La procedura dovrà essere ripetuta, per tenere conto
dei numeri successivamente iscritti nel Registro. L’iscrizione dell’abbonato nel
Registro è gratuita, a tempo indeterminato e cessa solo in caso di revoca da parte
dell’interessato o di decadenza automatica, che interviene in caso di cambio o
cessazione dell’utenza telefonica. Le tariffe di accesso al servizio per gli operatori di
telemarketing valide per il 2013 sono regolate dal D.M. 11.1.2013 e sono riportate sul
sito internet del registro delle opposizioni. Con riferimento agli SMS e MMS
promozionali il Garante ha precisato che è possibile inviarli da parte delle imprese
(non solo telefoniche) solo con il consenso dell’interessato (v. provv. 10 giugno 2003;
in senso conforme v. provv. 23 gennaio 2008 e provv. 10 giugno 2011).
Con provvedimento 24 febbraio 2005 (in tempi più recenti v. in senso conforme anche
provv. 9 marzo 2006 e provv. 22 luglio 2010), il Garante ha dettato regole precise per
11
quanto riguarda informativa e consenso relativamente ad alcune tipiche attività di
marketing, ossia la fidelizzazione, realizzata attraverso l’emissione di carte fedeltà che
attribuiscono vantaggi al consumatore, la profilazione, effettuata attraverso l’analisi delle
abitudini e scelte di consumo; e il marketing diretto propriamente detto. In particolare, il
Garante ha stabilito che:
- per quanto riguarda la fidelizzazione, l’informativa al cliente relativamente al
trattamento dei dati deve essere adeguatamente evidenziata e collocata in modo
autonomo ed unitario in un apposito riquadro all’interno dei moduli di sottoscrizione,
in modo da essere agevolmente rilevabile rispetto alle altre clausole del regolamento.
In particolare, deve essere posto in rilievo l’eventuale utilizzo dei dati a fini di
profilazione o di marketing, come pure l’intenzione di cedere i dati a terzi
specificamente individuati, sottolineando che per queste attività il conferimento dei
dati è libero e facoltativo. L’adesione al programma di fidelizzazione non può essere
condizionata al consenso anche per attività di profilazione e di marketing. In ogni
caso, per lo svolgimento di programmi di fidelizzazione l’uso di dati personali deve
essere ridotto al minimo, e i sistemi informativi e i relativi programmi devono essere
configurati in modo da ridurre al minimo l’utilizzo di informazioni relative a clienti
identificabili. Non è necessario acquisire il consenso dell’interessato per il trattamento
dei dati finalizzato all’attribuzione dei vantaggi connessi all’uso della carta,
trattandosi di trattamento necessario per eseguire gli obblighi derivanti dal contratto
sulla base del quale è stata rilasciata la carta, concluso fra il titolare del trattamento e
l’interessato;
- ogni altra finalità del trattamento (profilazione, ricerche di mercato, marketing),
qualora comporti l’identificabilità dell’interessato, richiede il consenso dello stesso. Il
consenso deve essere informato, specifico e distinto per ciascuna attività: non è
consentito raccogliere un consenso generale ed omnicomprensivo per tutte le finalità
predette, ricorrendo ad una dichiarazione generica che comprenda anche casi in cui il
consenso non è necessario;
- per quanto riguarda la profilazione, occorre il consenso dell’interessato per il
trattamento delle informazioni relative agli acquisti interessati. Se l’attività di
profilazione può essere svolta sulla base di dati anonimi o non identificativi, non è
consentito utilizzare dati personali o identificativi. In nessun caso è consentito
utilizzare a fini di profilazione dati sensibili, con particolare riguardo a quelli
riguardanti lo stato di salute e la vita sessuale. Le banche di dati usate per l’attività di
profilazione non devono essere interconnesse con quelle utilizzate per la
fidelizzazione in senso stretto. Il consenso prestato per l’attività di profilazione è
considerato valido per un anno, dopo di che deve essere rinnovato oppure deve
cessare il trattamento;
- per quanto riguarda il marketing diretto, valgono i principi generali (il consenso deve
essere specifico, informato, e prestato direttamente dall’interessato, e non da un suo
familiare). Anche a questi riguardi il consenso è sottoposto a scadenza, ed è valido
solo per due anni.
I principi generali che regolano il trattamento dei dati personali pe finalità promozionali,
12
anche attraverso la posta elettronica, sono stati di recente riassunti nel provvedimento
generale del Garante 4 luglio 2013, “Linee guida in materia di attività promozionale e
contrasto allo spam”.
Per tutti i trattamenti di cui si è detto sopra, il consenso deve essere espresso, e espresso in
forma positiva, attraverso cioè il positivo esercizio di una scelta fra due possibilità
(AUTORIZZA / NON AUTORIZZA, SI /NO) che devono essere ugualmente prospettate
all'interessato.
Allo stato attuale, l'UPA ritiene quindi di dover suggerire i seguenti testi, relativi
specificamente al trattamento per finalità di direct marketing e al trattamento per finalità di
profilazione.
Formula da utilizzare per il trattamento a fini di direct marketing
Autorizzo ……..(nome ed indirizzo dell’Azienda), titolare del trattamento, al trattamento dei
miei dati sopra indicati, anche con sistema informatizzato 1, per l’invio di materiale
informativo, pubblicitario o promozionale relativo ai suoi prodotti. Sono consapevole che il
conferimento dei dati è facoltativo.
In ogni momento, a norma dell’art. 7 D. Lgs. 196/03, potrò ottenere, previa richiesta scritta
da inviare all’indirizzo del titolare del trattamento (o del responsabile del trattamento, se
nominato), la conferma dell’esistenza di un trattamento di dati che mi riguardano e la loro
comunicazione in forma intelligibile, l’indicazione dell’origine di tali dati, nonché:
1) l’aggiornamento, la rettificazione, l’integrazione dei dati;
2) la cancellazione, la trasformazione in forma anonima o il blocco di dati trattati in
violazione di legge.
Avrò inoltre il diritto ad oppormi, in tutto o in parte, all’ulteriore utilizzo dei miei dati per
le finalità di cui sopra, scrivendo a ……………..(nome ed indirizzo dell’Azienda) titolare del
trattamento,
Attenzione: se è stato designato un responsabile, la frase precedente verrà sostituita dalla
seguente: Avrò inoltre il diritto ad oppormi, in tutto o in parte, all’ulteriore utilizzo dei miei
dati per le finalità di cui sopra, scrivendo a ……(nome ed indirizzo responsabile),
responsabile del trattamento.
SI ‫ٱ‬
NO ‫ٱ‬
Il consenso dovrà ritenersi validamente espresso solo nel caso in cui sia crocettato il
quadratino accanto al SI .
Formula da utilizzare per il trattamento a fini di profilazione:
Autorizzo ……..(nome ed indirizzo dell’Azienda), titolare del trattamento, al trattamento anche con sistema informatizzato¹- dei miei dati sopra indicati, nonché delle informazioni
relative agli acquisti da me effettuati, per lo svolgimento di attività di profilazione mediante
l’analisi delle mie abitudini e scelte di consumo. Sono consapevole che il conferimento dei
dati è facoltativo.
In ogni momento, a norma dell’art. 7 D. Lgs. 196/03, potrò ottenere, previa richiesta scritta
1
Ovviamente tale precisazione sarà necessaria solo se il trattamento verrà effettuato con modalità informatizzate.
13
da inviare all’indirizzo del titolare del trattamento (o del responsabile del trattamento, se
nominato), la conferma dell’esistenza di un trattamento di dati che mi riguardano e la loro
comunicazione in forma intelligibile, l’indicazione dell’origine di tali dati, nonché:
3) l’aggiornamento, la rettificazione, l’integrazione dei dati;
4) la cancellazione, la trasformazione in forma anonima o il blocco di dati trattati in
violazione di legge.
Avrò inoltre il diritto ad oppormi, in tutto o in parte, all’ulteriore utilizzo dei miei dati per
le finalità di cui sopra, scrivendo a ……………..(nome ed indirizzo dell’Azienda) titolare del
trattamento,
Attenzione: se è stato designato un responsabile, la frase precedente verrà sostituita dalla
seguente: Avrò inoltre il diritto ad oppormi, in tutto o in parte, all’ulteriore utilizzo dei miei
dati per le finalità di cui sopra, scrivendo a ……(nome ed indirizzo responsabile),
responsabile del trattamento.
SI ‫ٱ‬
NO ‫ٱ‬
Il consenso dovrà ritenersi validamente espresso solo nel caso in cui sia crocettato il
quadratino accanto al SI .
Per quanto riguarda l’utilizzazione dei dati nell’ambito di un’attività di fidelizzazione, e per
le sole finalità di fidelizzazione, non sarà necessario il consenso dell’interessato, ma solo
l’inserimento dell’informativa nell’ambito del modulo contrattuale con il quale il cliente
richiede l’emissione della carta fedeltà:
La informiamo che i Suoi dati personali, quali sopra indicati, saranno trattati – a mezzo di
un sistema informatico - da ……...(nome ed indirizzo dell’Azienda), titolare del
trattamento, per l’adempimento degli obblighi conseguenti all’emanazione della carta
fedeltà da Lei richiesta. Il conferimento dei dati è obbligatorio, in quanto in caso di
mancato conferimento .... (nome dell’Azienda) potrà trovarsi nell’impossibilità di far fronte
a tutti o ad alcuni di tali obblighi.
In ogni momento, a norma dell’art. 7 D. Lgs. 196/03, Lei potrà ottenere, previa richiesta
scritta, la conferma dell’esistenza di un trattamento di dati che la riguardano e la loro
comunicazione in forma intelligibile, l’indicazione dell’origine di tali dati, nonché:
5) l’aggiornamento, la rettificazione, l’integrazione dei dati;
6) la cancellazione, la trasformazione in forma anonima o il blocco di dati trattati in
violazione di legge.
Lei avrà inoltre il diritto di opporsi, in tutto o in parte, per motivi legittimi, all’ulteriore
utilizzo dei suoi dati per le finalità di cui sopra, scrivendo a ……………..(nome ed indirizzo
dell’Azienda) titolare del trattamento,
Attenzione: se è stato designato un responsabile, la frase precedente verrà sostituita dalla
seguente: Lei avrà inoltre il diritto di opporsi, in tutto o in parte, per motivi legittimi,
all’ulteriore utilizzo dei miei dati per le finalità di cui sopra, scrivendo a ……(nome ed
indirizzo responsabile), responsabile del trattamento.
In nessuna delle formule sopra riportate compare l’autorizzazione alla comunicazione e
14
diffusione dei dati, perché tali operazioni sono solitamente prive di interesse per le Aziende
UPA.
In caso di contitolarità del trattamento, il consenso può essere richiesto da un primo titolare
anche per utilizzo da parte di altri e successivi titolari, purché questi siano indicati
specificamente a priori all'interessato e purché sia stata data l'informativa relativa al
trattamento praticato da questi ulteriori titolari.
Nel caso invece il titolare del trattamento voglia utilizzare i dati anche per l’invio di
materiale pubblicitario relativo ad altre società, questo andrà esplicitato nell’informativa ("a
fini di informazione e promozione di prodotti o servizi della società o di terzi"), ma i dati
non potranno essere comunicati a tali società.
.
E' invece ormai acquisito che iniziative sviluppate dalla stessa impresa per sue marche
anche diverse o linee di prodotto diverse rientrino in un unico trattamento dati e quindi
necessitino di unico consenso e informativa.
MISURE DI SICUREZZA (artt. 31 - 36; Allegato B)
Il titolare del trattamento deve adottare le misure minime di sicurezza di natura tecnica,
informatica, organizzativa, logistica volte ad assicurare un livello minimo di protezione dei
dati personali; in particolare, si tratta di misure di custodia e di controllo dei dati che
prevengono i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non
autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Nell’individuare queste misure che devono essere adottate dall’Azienda per il trattamento
dei dati personali, il Codice distingue tra trattamento dei dati effettuato con strumenti
elettronici (Art. 34; All. B, punti da 1 a 25) e trattamento effettuato con strumenti diversi da
quelli elettronici (Art. 35; All. B, punti da 27 a 29).
l) MISURE DI SICUREZZA IN CASO DI TRATTAMENTO DEI DATI
PERSONALI EFFETTUATO CON STRUMENTI ELETTRONICI O COMUNQUE
AUTOMATIZZATI (art. 34; Allegato B)
Per “strumenti elettronici” devono intendersi gli elaboratori, i programmi per elaboratori e
qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il
trattamento (art 4, terzo comma, lettera b).
Il trattamento di dati personali effettuato con tali strumenti elettronici è consentito solo se
sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B del
Codice, alcune misure minime, tra le quali: l’autenticazione informatica (cioè l’insieme
degli strumenti elettronici e delle procedure per la verifica anche indiretta dell’identità di
colui che accede ai dati, quali codici identificativi dell’incaricato e parole chiave, da
modificare periodicamente – sei mesi in caso di dati personali/tre mesi in caso di dati
sensibili o giudiziari - per maggior segretezza), l’utilizzazione di un sistema di
autorizzazione (cioè l’insieme degli strumenti e delle procedure che abilitano l’incaricato
all’accesso ai dati ed alle modalità di trattamento degli stessi), la protezione degli strumenti
elettronici e dei dati rispetto a trattamenti illeciti dei dati stessi, mediante l’attivazione di
15
strumenti automatizzati da aggiornare con cadenza almeno semestrale.
In caso di trattamento di dati sensibili o di dati giudiziari il titolare del trattamento deve
adottare ulteriori misure (All. B, numeri da 20 a 24), quali l’uso di supporti rimovibili per la
memorizzazione dei dati al fine di evitare accessi non autorizzati e trattamenti non
consentiti, nonché specifiche procedure per la custodia di copie di sicurezza. I supporti
rimovibili contenenti dati sensibili o giudiziari se non utilizzati vanno distrutti o resi
inutilizzabili; gli incaricati potrebbero riutilizzarli solo se le informazioni contenute in tali
supporti non sono intellegibili o in alcun modo ricostruibili. Devono essere adottate idonee
misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento in tempi non
superiori a sette giorni.
Con il Decreto semplificazioni (D.L. n. 5/2012 convertito, con modif., dalla L. n. 35/2012) è
stato soppresso per le aziende, a partire dal 10 febbraio 2012, l’obbligo di tenere e
aggiornare annualmente un documento programmatico per la sicurezza (DPS) ex art. 34,
comma 2, lett. g), del Codice Privacy (norma ora abrogata), con la conseguenza che la
tenuta del DPS è ora facoltativa. Nel DPS devono essere indicati, fra l’altro, l’elenco dei
trattamenti dei dati personali, la distribuzione dei compiti e delle responsabilità all’interno
delle strutture preposte al trattamento dei dati, nonché le misure da adottare per garantire
l’integrità e la disponibilità dei dati stessi.
2) MISURE DI SICUREZZA IN CASO DI TRATTAMENTO DEI DATI
PERSONALI EFFETTUATO CON STRUMENTI DIVERSI DA QUELLI
ELETTRONICI O COMUNQUE AUTOMATIZZATI (art. 35; Allegato B)
Le misure di sicurezza richieste sono minori, e possono essere sintetizzate come segue.
Il titolare (o il responsabile, ove nominato) deve:
a) individuare l’ambito del trattamento consentito ai singoli incaricati ed aggiornarlo
periodicamente;
b) adottare procedure che garantiscano un’idonea custodia di atti e documenti affidati agli
incaricati per lo svolgimento dei relativi compiti;
c) apprestare procedure per la conservazione di determinati atti in archivi ad accesso
selezionato e disciplinare le modalità di accesso al fine di identificare gli incaricati.
3) MISURE SEMPLIFICATE (provv. Garante 27.11.2008)
Con il provvedimento in data 27 novembre 2008 il Garante ha stabilito che i soggetti
pubblici o privati a) che utilizzano dati personali non sensibili o che trattano come unici dati
sensibili quelli dei propri dipendenti o collaboratori relativi allo stato di salute/malattia o
all’adesione ad organizzazioni sindacali o b) che trattano dati personali per correnti finalità
amministrative e contabili (in particolare presso liberi professionisti, artigiani e piccole e
medie imprese) possono avvalersi di misure di sicurezza semplificate, come specificate nel
provvedimento in questione, tra le quali ricordiamo:
i)
trattamenti effettuati con strumenti elettronici:
- le istruzioni in materia di misure minime di sicurezza possono essere impartite agli
16
-
-
ii)
-
incaricati anche oralmente;
si può utilizzare un qualsiasi sistema di autenticazione basato su un codice
identificativo (username), associato ad una password. L’username va disattivato
quando l’incaricato non ha più la qualità che rende legittimo l’utilizzo dei dati. In
caso di prolungata assenza o impedimento dell’incaricato, il titolare può assicurare la
disponibilità di dati o strumenti elettronici con procedure o modalità predefinite.
Riguardo a tali modalità, sono fornite preventive istruzioni agli incaricati e gli stessi
sono informati degli interventi effettuati (ad es., prescrivendo ai lavoratori che si
assentino dall’ufficio per ferie l’attivazione di modalità che consentano di inviare
automaticamente messaggi di posta elettronica ad un altro recapito accessibile: cfr.
Linee guida in materia di lavoro per posta elettronica e Internet approvate dal Garante
e pubblicate nella G.U. 10 marzo 2007, n. 58);
gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la
vulnerabilità di strumenti elettronici vanno effettuati almeno annualmente; se il
computer non è connesso ad Internet, l’aggiornamento deve essere fatto almeno ogni
biennio;
i dati possono essere salvaguardati anche attraverso il loro salvataggio almeno
mensile.
trattamenti realizzati senza l’ausilio di strumenti elettronici:
le istruzioni finalizzate al controllo e alla custodia dei dati possono essere impartite
agli incaricati anche oralmente;
la documentazione contenente dati sensibili o giudiziari è controllata e custodita dagli
incaricati fino al termine delle operazioni loro affidate e andrà successivamente
restituita.
TRASFERIMENTO DI DATI ALL'ESTERO (artt. 42-45)
In omaggio al principio di libera circolazione dei beni e servizi all’interno dell’Unione
Europea, i dati possono formare oggetto di trasferimento all’interno dell’Unione stessa. Il
trasferimento dei dati in Paesi terzi è consentito nei casi elencati nell’art. 43, tra i quali
segnaliamo il caso in cui l’interessato abbia prestato il proprio consenso espresso (o scritto,
se si tratta di dati sensibili) al trasferimento; il caso in cui il trasferimento sia necessario per
l’esecuzione di obblighi derivanti da un contratto del quale è parte l’interessato o per
adempiere, prima della conclusione del contratto, a richieste dell’interessato, ovvero per la
conclusione o per l’esecuzione di un contratto stipulato a favore dell’interessato; il caso in
cui il trasferimento sia necessario per la salvaguardia di interessi pubblici rilevanti o per la
vita e l’incolumità di un terzo o, ancora, per il corretto svolgimento di attività difensive o
investigative o comunque finalizzate alla difesa di un diritto in sede giudiziaria.
Fuori da tali ipotesi, il trasferimento deve essere autorizzato dal Garante sulla base di
adeguate garanzie per i diritti dell’interessato.
In ogni caso, il trasferimento è vietato qualora l’ordinamento dello Stato di destinazione o di
transito dei dati non assicuri un livello di tutela adeguato.
17
ADOZIONE DEI CODICI DEONTOLOGICI (art. 12; art.140)
La nuova disciplina prevede l’adozione di codici deontologici e di buona condotta per una
serie di trattamenti, tra cui quelli effettuati “a fini di invio di materiale pubblicitario o di
vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione
commerciale”. Nei casi in cui il trattamento non presuppone il consenso dell’interessato,
verranno previste forme semplificate per manifestare l’eventuale dichiarazione di non voler
ricevere determinate comunicazioni (art. 140). In ogni caso, il rispetto delle condizioni
previste in tali codici costituirà condizione essenziale per la liceità del trattamento dei dati
(art. 12).
ACQUISTO Dl DATI DA TERZI
Suggeriamo alle Aziende che non raccolgono direttamente i dati ma ne acquistano la
disponibilità da terzi di garantirsi con la massima attenzione e col massimo scrupolo sulla
reale effettuazione di tutti gli adempimenti di legge relativi alla raccolta e al trattamento dei
dati. A tal proposito, si veda il recente provvedimento del Garante in data 11 ottobre 2012
con cui è stata accertata l’illiceità del trattamento da parte di una società operante nel settore
del telemarketing per aver utilizzato dati personali contenuti nel database acquisito tramite
altra azienda, senza che questa società abbia rilasciato agli interessati idonea informativa ai
sensi dell’art. 13 e senza aver acquisito il necessario consenso, libero, specifico e
documentato per iscritto degli interessati ex artt. 23, co. 3, e 130, commi 1 e 2.
COOKIES
I cookies sono disciplinati dall’art. 122 del Codice privacy, il quale consente l’archiviazione
delle informazioni nell’apparecchio terminale di un contraente o utente, come pure l’accesso
a informazioni già archiviate, solo a condizione che l’interessato abbia espresso il proprio
consenso, dopo aver ricevuto l’informativa con modalità semplificate. Fanno eccezione i cd.
cookies tecnici, per i quali non è necessario il consenso, ma solo l’informativa.
CENNI SULLA TUTELA GIUDIZIARIA E SULLA TUTELA AMMINISTRATIVA
(Parte III, Titolo I, artt.141-152)
L’interessato può far valere i diritti di cui all’art. 7 o dinanzi all’autorità giudiziaria
ordinaria (A.G.O.), o con ricorso al Garante
Tutte le controversie relative all’applicazione delle disposizioni del Codice Privacy,
comprese quelle inerenti alle opposizioni ai provvedimenti del Garante proposte
dall’interessato o dal titolare o relative alla mancata adozione dei provvedimenti del
Garante, sono devolute all’A.G.O. e sono disciplinate dall’art. 10 del d.lgs. n. 150/2011 (cd.
Decreto taglia-riti), che stabilisce, innanzitutto, che esse sono regolate dal rito del lavoro. Le
norme del Decreto predetto sono entrate in vigore dal 6 ottobre 2011.L'opposizione va
18
proposta con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare
del trattamento dei dati entro trenta giorni dalla comunicazione del provvedimento o dalla
data del rigetto tacito, ovvero entro 60 gg. se il ricorrente risiede all’estero, pena la sua
inammissibilità.
L’efficacia esecutiva del provvedimento del Garante può essere sospesa secondo quanto
disposto dall’art. 5 d.lgs. n. 150/2011, ossia:
- quando ricorrano gravi e circostanziate ragioni; oppure
- in caso di pericolo imminente di un danno grave e irreparabile..
La sentenza del tribunale non è soggetta ad appello, può disporre le misure necessarie che
devono essere adottate, anche in relazione all’eventuale atto del soggetto pubblico titolare o
responsabile dei dati, nonché il risarcimento del danno e la refusione delle spese di lite.
L’art. 10, ult. comma, del D.Lgs. n. 150/2011 diversamente dall’art. 152 del Codice Privacy
(ora abrogato) non prevede più che le sentenza che definisce in un unico grado (in quanto
non appellabile) una controversia in materia di privacy sia ricorribile in Cassazione.
Nonostante ciò è da ritenere che il ricorso per cassazione sarà ammesso qualora ricorrano le
condizioni previste dall’art. 360 e ss. del codice di procedura civile.
SANZIONI:
Il titolo terzo del Codice Privacy è dedicato alle sanzioni e si suddivide in due capi, di cui il
primo riguarda gli illeciti amministrativi (artt. 161-166) e il secondo gli illeciti penali (artt.
167-172).
I)
VIOLAZIONI AMMINISTRATIVE (artt. 161-166)
L’omessa o inidonea informativa di cui all’art. 13 del Codice Privacy all’interessato viene
sanzionata con il pagamento di una somma che va da euro 6.000 ad euro 36.000 (art. 161).
La cessione dei dati senza rispettare la previsione dell’art. 16, co.1, lett. b (i.e.: per una
finalità incompatibile con il trattamento effettuato dal cedente) o in violazione di altre
disposizioni di legge in materia di trattamento dei dati personali è punita con la sanzione
amministrativa che va da 10.000 a 60.000 euro (art. 162, co. 1).
Il secondo comma dell’art. 162 punisce con la sanzione pecuniaria da 1.000 a 6.000 euro la
violazione dell’art. 84, comma 1, che disciplina la comunicazione all’interessato di dati
relativi allo stato di salute, consentendola agli organismi sanitari, solo per il tramite di un
medico designato dall’interessato medesimo o dal titolare.
Nel caso di trattamento illecito di dati personali (ad es. perché effettuato in violazione
delle misure minime di sicurezza prescritte nell’art. 33 o senza l’acquisizione del preventivo
consenso dell’interessato), oltre alle sanzioni penali previste dalle disposizioni degli artt.
167 e 169, è altresì applicata in sede amministrativa la sanzione pecuniaria da 10.000 a
120.000 euro (art. 162, comma 2-bis).
19
Nel caso di inosservanza di provvedimenti del Garante relativi all’adozione di misure
necessarie per rendere il trattamento conforme alle disposizioni vigenti o al divieto di
trattamento illecito o al blocco dei dati, oltre alle sanzioni penali previste dall’art. 170, è
altresì applicata in sede amministrativa la sanzione pecuniaria da 30.000 a 180.000 euro (art.
162, comma 2-ter).
Nel caso di violazione del diritto di opposizione si applica una sanzione amministrativa
pecuniaria da 10.000 a 120.000 euro (art. 162, comma 2-quater)
La violazione delle disposizioni relative alla durata della conservazione dei dati relativi al
traffico telefonico di cui all’art. 132, commi 1 e 1-bis, da parte di un fornitore di servizi di
comunicazione elettronica è punita con il pagamento di una somma che va da euro 10.000
ad euro 50.000 (art. 162-bis).
L’art. 162-ter detta una serie di norme relative alle sanzioni nei confronti dei fornitori di
servizi di comunicazione elettronica accessibili al pubblico e/o dei soggetti affidatari
dell’erogazione dei servizi in questione. L’omessa comunicazione al Garante della
violazione di dati personali ex art. 32-bis, co. 1, verrà sanzionata con il pagamento di una
somma che va da 25.000 a 150.00 euro (art. 162-ter, comma 1); mentre l’omessa
comunicazione di tale violazione al contraente ex art. 32-bis, comma 2, verrà punita con la
sanzione da 150 euro a 1.000 euro per ciascun interessato coinvolto (art. 162-ter, comma 2).
Quest’ultima sanzione non può essere applicata in misura superiore al 5% del volume
d’affari realizzato dal fornitore nell’ultimo esercizio precedente alla notifica della
contestazione amministrativa (art. 162-ter, comma 3). La violazione dell’obbligo di tenere
un aggiornato inventario delle violazioni di dati personali ex art. 32-bis, comma 7, è invece
punita con la sanzione amministrativa pecuniaria che va da 20.000 euro a 120.000 euro.
L’omessa o incompleta notifica del trattamento ex artt. 37 e 38 è punita con la sanzione
amministrativa pecuniaria che va da 20.000 a 120.000 euro (art. 163).
L’omessa informazione o esibizione di documenti quando richiesto dal Garante ex art.
157 nonché la mancata adozione delle misure necessarie a tutela dei diritti
dell’interessato prescritte dal Garante a seguito del ricorso proposto ex art. 150, comma 2,
comporta l’applicazione di una sanzione amministrativa pecuniaria che va da euro 10.000 ad
euro 60.000 (art. 164).
L’art. 164-bis disciplina i casi di minore gravità e le ipotesi aggravate. Quanto ai primi i
limiti minimi e massimi stabiliti dagli articoli da 161 a 164 sono applicati in misura pari a
2/5, avuto riguardo alla natura dell’attività svolta dal trasgressore. Le circostanze aggravanti
previste dalla norma predetta sono relative invece alle seguenti fattispecie: a) violazioni
amministrative relative a banche dati di particolare rilevanza o dimensioni (sanzione
amministrativa pecuniaria da 50.000 a 300.000 euro, con esclusione del pagamento in
misura ridotta); b) casi di maggiore rilevanza del pregiudizio per uno o più interessati
20
ovvero ipotesi in cui sono coinvolti numerosi interessati (i minimi e i massimi delle sanzioni
sono applicati in misura pari al doppio); c) condizioni economiche del contravventore che
possono rendere inefficaci le sanzioni (aumento sino al quadruplo).
L’art. 165 prevede l’irrogazione della sanzione accessoria della pubblicazione
dell’ordinanza ingiunzione, in uno o più giornali, a cura e spese del contravventore.
L’applicazione di tale sanzione è facoltativa, essendo rimessa alla discrezionalità del
Garante.
Il Garante è il soggetto competente ad irrogare le sanzioni amministrative di cui al Capo I;
per il procedimento di applicazione delle sanzioni si osservano le disposizioni della legge n.
689/1981 per quanto compatibili; i proventi delle sanzioni, nella misura del 50% del totale
annuo, sono destinati al fondo costituito per il funzionamento dell’ufficio del Garante (art
166).
II)
ILLECITI PENALI (artt. 167-172)
Ai sensi dell’art. 167, comma primo, Codice Privacy il trattamento di dati personali
configura un reato nei seguenti casi:
- trattamenti effettuati da soggetti pubblici al di fuori dei limiti e delle condizioni
previsti dagli articoli 18 e 19;
- trattamento dei dati senza il consenso dell’interessato (art. 23);
- trattamento dei dati relativi al traffico riguardanti contraenti ed utenti di reti pubbliche
di comunicazione o di un servizio di comunicazione elettronica al di fuori di limiti e
condizioni stabiliti nell’articolo 123;
- effettuazione di comunicazioni indesiderate nei confronti di contraenti e utenti di
servizi di comunicazione(artt. 129 e 130).
Tali condotte vengono punite con la reclusione da 6 a 18 mesi o, se il fatto consiste nella
comunicazione o diffusione dei dati, con la reclusione da 6 a 24 mesi.
Il secondo comma dell’art. 167 punisce con la reclusione da 1 a 3 anni le seguenti condotte,
qualora sia sussistente la finalità di profitto o del danno altrui:
- effettuazione di trattamenti che presentano rischi specifici senza le garanzie
prescritte dalla norma di cui all’art. 17;
- effettuazione di trattamenti di dati sensibili e giudiziari da parte di soggetti pubblici
senza rispettare le condizioni previste dagli artt. 20, 21 o 22, commi 8 e 11;
- diffusione e comunicazione dei dati violando i divieti di cui all’articolo 25;
- mancato rispetto delle garanzie previste dalla legge per il trattamento dei dati
sensibili (art. 26) e giudiziari (art. 27);
- effettuazione di trasferimenti di dati all’estero vietati dall’art. 45.
E’ punita con la reclusione da 6 mesi a 3 anni ex art. 168 la condotta consistente nel fornire
21
comunicazioni e dichiarazioni false al Garante:
a) nelle comunicazioni che il fornitore di servizi di comunicazione elettronica deve rendere
al Garante in caso di violazione di dati personali ai sensi dell’art. 32-bis, commi 1 e 8;
b) nella notificazione di cui all’art. 37;
c) in atti o documenti resi o esibiti in un procedimento davanti al Garante;
d) nel corso di accertamenti compiuti dal Garante.
L’omessa adozione delle misure minime di sicurezza previste dall’art. 33 è punita con
l’arresto sino a due anni ai sensi dell’art. 169, comma 1. E’ ammesso il pagamento di una
sanzione ridotta nel caso di successiva adozione o regolarizzazione delle misure di
sicurezza, con conseguente estinzione del reato (art. 169, comma 2).
Ai sensi dell’ art. 170 è punita con la reclusione da 3 mesi a 2 anni l’inosservanza di
provvedimenti del Garante adottati ai sensi degli artt. 26, comma 2 (autorizzazione al
trattamento di dati sensibili); 90 (autorizzazione al trattamento dei dati genetici); 150,
commi 1 e 2 (provvedimento a seguito del ricorso dell’interessato relativo al blocco dei dati
o alla sospensione di una o più operazioni di trattamento o all’ordine di cessazione del
comportamento illegittimo); e 143, comma 1, lettera c (provvedimento, adottato a seguito di
reclamo, che dispone il blocco o vieta il trattamento illecito dei dati).
L’art. 171 appresta una tutela penale per le ipotesi di violazione degli artt. 113 e 114. La
prima delle disposizioni richiamate riguarda la raccolta di dati sensibili da parte del datore
di lavoro. L’art. 114 disciplina invece il divieto di controllo a distanza del dipendente da
parte del datore di lavoro. Le sanzioni previste dall’art. 38 dello Statuto dei lavoratori, cui
l’art. 171 fa rinvio, consistono nell’ammenda da euro 150 ad euro 1.500 o nell’arresto da 15
gg. ad 1 anno. Nei casi più gravi le due pene possono essere applicate congiuntamente e ad
esse può aggiungersi la pubblicazione della sentenza penale di condanna.
L’art. 172 prevede per tutti i delitti previsti nel capo dedicato agli illeciti penali la pena
accessoria della pubblicazione della sentenza di condanna.
22